Neste documento, apresentamos uma arquitetura de referência que pode ser usada para implantar uma topologia de rede hub e spoke de uma rede entre nuvens em Google Cloud. Esse design de rede permite a implantação de serviços de software em Google Cloud e em redes externas, como data centers no local ou outros provedores de serviços em nuvem (CSPs, na sigla em inglês).
Esse design oferece suporte a várias conexões externas, várias redes de nuvem privada virtual (VPC) com acesso a serviços e várias redes VPC de carga de trabalho.
O público-alvo deste documento são administradores de rede que criam conectividade de rede e arquitetos de nuvem que planejam como as cargas de trabalho são implantadas. O documento pressupõe que você tem um conhecimento básico de roteamento e conectividade com a Internet.
Arquitetura
O diagrama a seguir mostra uma visão geral da arquitetura das redes e os quatro fluxos de pacotes compatíveis com essa arquitetura.
A arquitetura contém os seguintes elementos de alto nível:
| Componente | Finalidade | Interações |
|---|---|---|
| Redes externas (no local ou outra rede CSP) | Hospeda os clientes de cargas de trabalho executadas nas VPCs de carga de trabalho e de acesso a serviços. As redes externas também podem hospedar serviços. | Troca dados com as redes de nuvem privada virtual da Google Cloudpela rede de trânsito. Conecta-se à rede de trânsito usando o Cloud Interconnect ou a VPN de alta disponibilidade. Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de transporte público | Atua como um hub para a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho. | Conecta a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho usando uma combinação de Cloud Interconnect, VPN de alta disponibilidade e peering de rede VPC. |
| Rede VPC de acesso a serviços | Dá acesso a serviços necessários para cargas de trabalho em execução nas redes VPC de carga de trabalho ou em redes externas. Também fornece pontos de acesso a serviços gerenciados hospedados em outras redes. | Troca dados com as redes externa e de carga de trabalho pela rede de trânsito. Conecta-se à VPC de trânsito usando VPN de alta disponibilidade. O roteamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo alcance as VPCs de serviços gerenciados pela rede VPC de acesso a serviços. Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de serviços gerenciados | Hospeda serviços gerenciados necessários para clientes em outras redes. | Troca de dados com as redes externas, de acesso a serviços e de carga de trabalho. Conecta-se à rede VPC de acesso a serviços usando o acesso a serviços particulares, que usa peering de rede VPC, ou usando o Private Service Connect. Encerra uma extremidade dos fluxos de todas as outras redes. |
| Redes VPC de carga de trabalho | Hospeda cargas de trabalho necessárias para clientes em outras redes. | Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de trânsito. Conecta-se à rede de trânsito usando peering de rede VPC. Conecta-se a outras redes VPC de carga de trabalho usando spokes de VPC do Network Connectivity Center. Encerra uma extremidade dos seguintes fluxos:
|
O diagrama a seguir mostra uma visão detalhada da arquitetura que destaca as quatro conexões entre as redes:
Descrições de conexões
Esta seção descreve as quatro conexões mostradas no diagrama anterior.
Conexão 1: entre redes externas e a rede VPC de trânsito
Essa conexão entre redes externas e redes VPC de trânsito ocorre por meio do Cloud Interconnect ou de VPN de alta disponibilidade. As rotas são trocadas usando o BGP entre os Cloud Routers na rede VPC de trânsito e os roteadores externos na rede externa.
- Os roteadores em redes externas anunciam as rotas de sub-redes externas para os Cloud Routers VPC de trânsito. Em geral, os roteadores externos de um determinado local anunciam rotas do mesmo local externo como mais preferenciais do que as rotas para outros locais externos. A preferência das rotas pode ser expressa usando métricas e atributos do BGP.
- Os Cloud Routers na rede VPC de trânsito divulgam rotas para prefixos nas VPCs de Google Cloudpara as redes externas. Essas rotas precisam ser anunciadas usando os avisos de rota personalizada do Cloud Router.
Conexão 2: entre redes VPC de trânsito e redes VPC de acesso a serviços
Essa conexão entre redes VPC de trânsito e redes VPC de acesso a serviços acontece por VPN de alta disponibilidade, com túneis separados para cada região. As rotas são trocadas usando o BGP entre os Cloud Routers regionais nas redes VPC de trânsito e as redes VPC de acesso a serviços.
- VPN de alta disponibilidade da VPC de transporte público Os Cloud Routers anunciam rotas para prefixos de rede externa, VPCs de carga de trabalho e outras VPCs de acesso a serviços para o Cloud Router VPC de acesso a serviços. Essas rotas precisam ser anunciadas usando avisos de rotas personalizadas do Cloud Router.
- A rede VPC de acesso a serviços anuncia as sub-redes e as sub-redes de qualquer rede VPC de serviços gerenciados anexada à rede VPC de trânsito. As rotas da VPC de serviços gerenciados e as rotas de sub-rede da VPC de acesso a serviços precisam ser anunciadas usando os anúncios de rotas personalizadas do Cloud Router.
Conexão 3: entre redes VPC de trânsito e redes VPC de carga de trabalho
Essa conexão entre redes VPC de trânsito e de carga de trabalho é implementada por peering de VPC. Sub-redes e rotas de prefixo são trocadas usando mecanismos de peering de VPC. Essa conexão permite a comunicação entre as redes VPC de carga de trabalho e as outras redes conectadas à rede VPC de trânsito, incluindo as redes externas e as redes VPC de acesso a serviços.
- A rede VPC de trânsito usa o peering para exportar rotas personalizadas. Essas rotas personalizadas incluem todas as rotas dinâmicas que foram aprendidas pela rede VPC de trânsito. As redes VPC de carga de trabalho importam essas rotas personalizadas.
- A rede VPC da carga de trabalho exporta automaticamente sub-redes para a rede VPC de trânsito. Nenhuma rota personalizada é exportada das VPCs de carga de trabalho para a VPC de trânsito.
Conexão 4: entre redes VPC de carga de trabalho
- As redes VPC de carga de trabalho podem ser conectadas usando spokes de VPC do Network Connectivity Center. Essa configuração é opcional. É possível omiti-lo se não quiser que as redes VPC de carga de trabalho se comuniquem entre si.
Fluxos de tráfego
O diagrama a seguir mostra os quatro fluxos que são ativados por essa arquitetura de referência.
A tabela a seguir descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede VPC da carga de trabalho |
|
| Rede VPC da carga de trabalho | Rede externa |
|
| Rede VPC da carga de trabalho | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede VPC da carga de trabalho |
|
| Rede VPC da carga de trabalho | Rede VPC da carga de trabalho | O tráfego que sai de uma VPC de carga de trabalho segue a rota mais específica para a outra VPC de carga de trabalho pelo Network Connectivity Center. O tráfego de retorno inverte esse caminho. |
Produtos usados
Esta arquitetura de referência usa estes Google Cloud produtos:
- Nuvem privada virtual (VPC): um sistema virtual que oferece funcionalidade de rede global e escalonável para suas cargas de trabalho Google Cloud . A VPC inclui peering de rede VPC, Private Service Connect, acesso a serviços particulares e VPC compartilhada.
- Network Connectivity Center: um framework de orquestração que simplifica a conectividade de rede entre recursos de spoke conectados a um recurso de gerenciamento central chamado hub.
- Cloud Interconnect: um serviço que estende sua rede externa para a rede do Google por meio de uma conexão de alta disponibilidade e baixa latência.
- Cloud VPN: um serviço que estende com segurança sua rede de peering para a rede do Google por um túnel VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerenciada que fornece recursos de alto-falante e resposta do protocolo de gateway de borda (BGP, na sigla em inglês). O Cloud Router trabalha com dispositivos Cloud Interconnect, Cloud VPN e Router para criar rotas dinâmicas em redes VPC com base em rotas aprendidas personalizadas e recebidas por BGP.
Considerações sobre o design
Esta seção descreve fatores de projeto, práticas recomendadas e recomendações de projeto que você deve considerar ao usar essa arquitetura de referência para desenvolver uma topologia que atenda aos seus requisitos específicos de segurança, confiabilidade e desempenho.
Segurança e compliance
A lista a seguir descreve as considerações de segurança e conformidade para esta arquitetura de referência:
- Por motivos de conformidade, é possível implantar cargas de trabalho apenas em uma região única. Caso queira manter todo o tráfego em uma única região, use uma topologia de 99,9%. Para mais informações, consulte Estabelecer 99,9% de disponibilidade para Interconexão dedicada e Estabelecer 99,9% de disponibilidade para Interconexão por parceiro.
- Usar o firewall de última geração do Cloud para proteger o tráfego que entra e sai das redes VPC de acesso a serviços e carga de trabalho. Para proteger o tráfego que passa entre as redes externas e a rede de trânsito, você precisa usar firewalls externos ou firewalls do NVA.
- Ative a geração de registros e o monitoramento conforme apropriado para suas necessidades de tráfego e conformidade. Use os registros de fluxo de VPC para ter insights sobre os padrões de tráfego.
- Use o Cloud IDS para coletar mais insights sobre o tráfego.
Confiabilidade
A lista a seguir descreve as considerações de confiabilidade para essa arquitetura de referência:
- Para ter 99,99% de disponibilidade do Cloud Interconnect, você precisa se conectar a duas regiões Google Cloud diferentes.
- Para melhorar a confiabilidade e minimizar a exposição a falhas regionais, é possível distribuir cargas de trabalho e outros recursos de nuvem entre regiões.
- Para processar o tráfego esperado, crie um número suficiente de túneis VPN. Túneis VPN individuais têm limites de largura de banda.
Otimização de desempenho
A lista a seguir descreve as considerações de desempenho para essa arquitetura de referência:
- É possível melhorar o desempenho da rede aumentando a unidade máxima de transmissão (MTU, na sigla em inglês) das suas redes e conexões. Para mais informações, consulte Unidade máxima de transmissão.
- A comunicação entre a VPC de trânsito e os recursos de carga de trabalho ocorre por meio do peering de rede VPC, que fornece capacidade de taxa de linha completa para todas as VMs na rede sem custo adicional. Considere as cotas e limites do peering de rede VPC ao planejar sua implantação. Há várias opções para conectar a rede externa à rede de trânsito. Para mais informações sobre como equilibrar custos e considerações de desempenho, consulte Como escolher um produto de conectividade de rede.
Implantação
A arquitetura neste documento cria três conjuntos de conexões para uma rede VPC de trânsito central, além de uma conexão diferente entre redes VPC de carga de trabalho. Depois que todas as conexões estiverem totalmente configuradas, todas as redes na implantação poderão se comunicar com as demais.
Essa implantação pressupõe que você esteja criando conexões entre as redes externa e de trânsito em duas regiões. No entanto, as sub-redes de carga de trabalho podem estar em qualquer região. Se você estiver colocando cargas de trabalho em uma única região, só precisará criar sub-redes nessa região.
Para implantar essa arquitetura de referência, conclua as tarefas a seguir:
- Identificar regiões para colocar conectividade e cargas de trabalho
- Crie suas redes e sub-redes VPC
- Crie conexões entre redes externas e sua rede VPC de trânsito
- Crie conexões entre sua rede VPC de trânsito e redes VPC de acesso a serviços
- Crie conexões entre a rede VPC de trânsito e as redes VPC de carga de trabalho
- Conectar suas redes VPC de carga de trabalho
- Testar a conectividade com cargas de trabalho
Identifique regiões para colocar conectividade e cargas de trabalho
Em geral, convém colocar conectividade e Google Cloud cargas de trabalho próximas às suas redes locais ou outros clientes da nuvem. Para mais informações sobre como posicionar cargas de trabalho, consulte Google Cloud Seletor de região e Práticas recomendadas para a seleção de regiões do Compute Engine.
Crie suas redes e sub-redes VPC
Para criar redes e sub-redes VPC, conclua as tarefas a seguir:
- Crie ou identifique os projetos em que você criará suas redes VPC. Para orientações, consulte Segmentação de rede e estrutura do projeto. Se você pretende usar redes VPC compartilhadas, provisione seus projetos como projetos host da VPC compartilhada.
- Planeje as alocações de endereços IP para suas redes. É possível pré-alocar e reservar seus intervalos criando intervalos internos. Alocar blocos de endereços que podem ser agregados torna a configuração e as operações posteriores mais diretas.
- Criar uma VPC de rede de trânsito com roteamento global ativado.
- Criar redes VPC de serviço. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
- Criar redes VPC de carga de trabalho. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
Criar conexões entre redes externas e sua rede VPC de trânsito
Nesta seção, consideramos a conectividade em duas regiões e pressupõe que os locais externos estejam conectados e possam fazer failover entre si. Também pressupõe que há uma preferência por clientes no local externo A acessarem serviços na região A e assim por diante.
- Configure a conectividade entre as redes externas e sua rede de trânsito. Para entender como pensar sobre isso, consulte Conectividade externa e híbrida. Para orientações sobre como escolher um produto de conectividade, consulte Como escolher um produto de conectividade de rede.
- Configure o BGP em
cada região conectada da seguinte maneira:
- Configure o roteador no local externo informado da seguinte maneira:
- Anuncie todas as sub-redes desse local externo usando o mesmo BGP MED em ambas as interfaces, como 100. Se ambas as interfaces anunciarem o mesmo MED, o Google Cloud poderá usar o ECMP para balancear a carga do tráfego nas duas conexões.
- Anuncie todas as sub-redes do outro local externo usando um MED de prioridade mais baixa que o da primeira região, como 200. Anunciar o mesmo MED nas duas interfaces.
- Configure o Cloud Router externo na VPC de trânsito
da região conectada da seguinte maneira:
- Defina o ASN do Cloud Router como 16550.
- Usando divulgações de rota personalizadas, anuncie todos os intervalos de sub-rede de todas as regiões nas duas interfaces externas do Cloud Router. Agregue-as, se possível. Use o mesmo MED nas duas interfaces, como 100.
- Configure o roteador no local externo informado da seguinte maneira:
Criar conexões entre sua rede VPC de trânsito e redes VPC de acesso a serviços
Para fornecer roteamento transitivo entre redes externas e a VPC de acesso a serviços e entre VPCs de carga de trabalho e a VPC de acesso a serviços, a VPC de acesso a serviços usa VPN de alta disponibilidade para conectividade.
- Estime quanto tráfego precisa passar entre as VPCs de trânsito e acesso a serviços em cada região. Dimensione o número esperado de túneis de acordo.
- Configure a VPN de alta disponibilidade entre a VPC de trânsito
e a VPC de acesso a serviços na região A usando as instruções
em Criar gateways de VPN de alta disponibilidade para conectar
redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede de trânsito. Deixe o roteador voltado para a rede externa para conexões de rede
externas.
- Configuração do Cloud Router da VPC de transporte público:
- Para anunciar as sub-redes da VPC de rede externa e carga de trabalho à VPC de acesso a serviços, use divulgações de rota personalizadas no Cloud Router na VPC de trânsito.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar as sub-redes VPC de acesso a serviços para a VPC de trânsito, use divulgações de rota personalizadas no Cloud Router da VPC de acesso a serviços.
- Se você usar o acesso a serviços particulares para conectar uma VPC de serviços gerenciados a ela, use rotas personalizadas para anunciar essas sub-redes também.
- Configuração do Cloud Router da VPC de transporte público:
- Se você conectar uma VPC de serviços gerenciados à VPC de acesso a serviços usando o acesso a serviços particulares, depois que a conexão de peering da rede VPC for estabelecida, atualize o lado da VPC de acesso a serviços da conexão do peering de rede VPC para exportar rotas personalizadas.
Crie conexões entre a rede VPC de trânsito e as redes VPC de carga de trabalho
Crie conexões de peering de rede VPC entre sua VPC de trânsito e cada uma das VPCs de carga de trabalho:
- Ative Exportar rotas personalizadas para o lado da VPC de trânsito de cada conexão.
- Ative Importar rotas personalizadas para o lado da VPC de carga de trabalho de cada conexão.
- No cenário padrão, apenas as rotas de sub-rede VPC de carga de trabalho são exportadas para a VPC de transporte público. Não é preciso exportar rotas personalizadas das VPCs de carga de trabalho.
Conecte suas redes VPC de carga de trabalho
Conecte as redes VPC de carga de trabalho usando spokes de VPC do Network Connectivity Center. Faça com que todos os spokes façam parte do mesmo grupo de pares de spoke do Network Connectivity Center. Use um grupo de peering principal para permitir a comunicação de malha completa entre as VPCs.
A conexão do Network Connectivity Center anuncia rotas específicas entre as redes VPC de carga de trabalho. O tráfego entre essas redes segue essas rotas.
Testar a conectividade com cargas de trabalho
Se você já tiver cargas de trabalho implantadas nas redes VPC, teste o acesso a elas agora. Se você conectou as redes antes de implantar cargas de trabalho, pode implantá-las agora e testar.
A seguir
- Saiba mais sobre os Google Cloud produtos usados neste guia de design:
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Deepak Michael | Engenheiro de clientes especialista em rede
- Victor Moreno | Gerente de produtos, Cloud Networking
- Osvaldo Costa | Engenheiro de clientes especialista em rede
Outros colaboradores:
- Mark Schlagenhauf | Redator técnico, Rede
- Ammett Williams | Engenheiro de relações com desenvolvedores
- Ghaleb Al-habian | Especialista em rede